Cisco Firewall ถูกโจมตีต่อเนื่อง 6 เดือน — พบเทคนิคใหม่ทำให้อุปกรณ์ “รีบูตวน” จนระบบล่ม
ในรอบครึ่งปีที่ผ่านมา Cisco ออกมาเตือนภัยครั้งใหญ่!
หลังพบว่ากลุ่มแฮกเกอร์ยังคงไล่โจมตี Firewall ของ Cisco (ASA และ FTD) อย่างต่อเนื่อง โดยใช้ช่องโหว่รหัส CVE-2025-20333 และ CVE-2025-20362 เพื่อทำให้เครื่อง รีโหลดซ้ำๆ จนเกิดภาวะ DoS (Denial-of-Service) หรือพูดง่าย ๆ คือ “ระบบหยุดทำงานไม่สามารถให้บริการได้”
เกิดอะไรขึ้นกับ Cisco Firewall?
Cisco เผยว่า การโจมตีเริ่มเกิดขึ้นตั้งแต่เดือนพฤษภาคม และดำเนินต่อเนื่องมาหลายเดือน โดยมีการพัฒนาเทคนิคใหม่ ๆ ที่ซับซ้อนมากขึ้น เช่น
- ●ปิดระบบ logging เพื่อไม่ให้แอดมินเห็นหลักฐานการโจมตี
- ●ดักจับคำสั่ง CLI ที่ผู้ดูแลพิมพ์เข้าไป
- ●ทำให้อุปกรณ์ crash เพื่อหลบการวิเคราะห์
- ●และที่อันตรายที่สุดคือ “แก้ไข ROM Monitor (ROMmon)” เพื่อให้ตัวเองอยู่รอดแม้เครื่องจะถูก reboot หรืออัปเกรดซอฟต์แวร์แล้วก็ตาม
การโจมตีนี้เชื่อมโยงกับกลุ่มแฮกเกอร์ชื่อ UAT4356 หรือที่รู้จักกันในชื่อ ArcaneDoor ซึ่งเคยโจมตีหน่วยงานรัฐในสหรัฐฯ มาก่อน และครั้งนี้ก็มีรายงานว่าหน่วยงานรัฐอเมริกาอย่างน้อยหนึ่งแห่งตกเป็นเหยื่อเช่นกัน
ยังไม่หมด! Cisco ยังพบช่องโหว่ร้ายแรงใน UCCX อีก 2 รายการ
นอกจาก Firewall แล้ว Cisco ยังพบช่องโหว่ Critical บน Unified Contact Center Express (UCCX) ซึ่งเป็นระบบติดต่อสื่อสารขององค์กร
- ●CVE-2025-20354 (CVSS 9.8): ช่องโหว่จาก Java RMI ที่ตรวจสอบสิทธิ์ไม่เหมาะสม ทำให้รันคำสั่งด้วยสิทธิ์ root ได้
- ●CVE-2025-20358 (CVSS 9.4): ช่องโหว่ Authentication bypass ระหว่าง CCX Editor และ Unified CCX Server
ถึงแม้ตอนนี้ยังไม่มีรายงานการโจมตีช่องโหว่ UCCX แต่ Cisco แนะนำให้องค์กร รีบอัปเดต ไปยังเวอร์ชัน 12.5 SU3 ES07 หรือ 15.0 ES01 ทันที
สิ่งที่ธุรกิจไทยควรตระหนัก
กรณีนี้สะท้อนให้เห็นชัดเจนว่า
“การมี Firewall อย่างเดียว ไม่ได้หมายความว่าคุณปลอดภัยเสมอไป”
แม้จะมีการปล่อย Patch แล้ว แต่การโจมตียังคงดำเนินต่อ เพราะหลายองค์กรยังไม่อัปเดตหรือขาดระบบป้องกันเชิงรุก
ในยุคที่แฮกเกอร์ปรับตัวเร็วกว่า Patch
องค์กรต้องไม่เพียงแค่ “อุดรูรั่ว” แต่ต้อง “รู้ทันก่อนรั่ว”
เพราะในโลกไซเบอร์ทุกวันนี้…
“การป้องกันเชิงรุก (Preemptive Defense)” คือหัวใจของการอยู่รอด
- 1
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
